行政合规 | 自动驾驶汽车用户隐私的公私合作保护(上)

随着自动驾驶汽车的发展，车企（包括自动驾驶系统商）与用户之间的矛盾更加紧张。一方面，车企需要获取用户数据（也称用户信息），以此支撑其自动驾驶产品的运行，或用以改进、升级产品，提升商业竞争力。另一方面，用户担忧其隐私存在被泄露或滥用的风险。车企不仅可能因为商业上同行竞争压力而过度获取或者不当获取用户数据，还可能进行二次的商业化利用，比如，与广告商进行合作。[1]在自动驾驶领域，用户隐私保护被认为是在社会文化方面最具挑战性的问题。[2]如何保护用户隐私，成为了自动驾驶治理必须回应的重要问题。

在实践中，有关车企泄露用户隐私的情况时有发生。[3]实务部门尽管已经意识到了这一问题，并在自动驾驶相关立法中专门就用户隐私保护进行了规定，[4]但很多实践问题尚未得到解决。目前学界对自动驾驶汽车用户隐私保护问题的关注还不够，专门研究很少，更广泛层面的、涉及自动驾驶汽车隐私保护的研究也不多。[5]

本文所关注的基本问题是：如何保护自动驾驶汽车的用户隐私？对此，本文拟论证的基本命题是：自动驾驶汽车的用户隐私保护，应当走向政府与车企对用户隐私的公私合作保护。为此，本文首先讨论用户隐私的识别以及边界，这是设计和论证行之有效的保护措施的前提和基础。然后，本文描摹出目前所面临的隐私保护困局，并分析其成因。最后，本文提出政府与车企对用户隐私的公私合作保护，以期为走出隐私保护困局提供参考。

在讨论用户隐私的保护措施之前，先要讨论用户隐私的识别路径。表面是论证逻辑使然，实则大有深意。一是弄清了用户隐私的内涵与外延，也就大概划定了用户隐私与不构成隐私的用户信息之间的边界。二是用户隐私往往需要车企特别留意，不构成隐私的信息在用户的观念里原本就可以公开，而且可能已经被用户在其他场合公开。

用户隐私识别的逻辑结构，是从事实到法律层面的识别过程。首先，在事实层面，是否构成用户隐私？其次，如果构成用户隐私，法律是否承认，使之成为法律层面的用户隐私？最后，对于保护方式而言，如果事实层面的隐私构成法律意义上的隐私，该如何保护？如果不构成法律意义上的隐私，又该如何保护？本文沿着这一逻辑结构展开论述。

（一）事实层面的用户隐私

在技术层面，用户相关数据有不同的分类，包括车内数据与交互数据； [6]存储数据、共享数据以及广播数据；[7]行驶和环境数据、状态数据、舒适度数据等。[8]基于这些技术层面的分类，本文从数据功能出发，区分为刚需型数据与改善型数据，并以此为基础，讨论如何识别用户隐私。

1. 刚需型数据与改善型数据

自动驾驶汽车的用户数据可以分为刚需型数据与改善型数据。刚需型数据是车企为了维持自动驾驶汽车正常运行所必需的数据；改善型数据是车企为了给用户提供更好的产品体验而获取的数据。刚需型数据与改善型数据对车企有着不同的商业意义。

以用户选择购买自动驾驶汽车或使用自动驾驶功能为前提，车企可以直接获取刚需型数据。原因在于，自动驾驶汽车如果在缺乏刚需型数据的状态下运行，将产生道路安全隐患，有损社会公共利益。车企出于法律要求以及社会责任的考虑，只要用户购买自动驾驶汽车或选择自动驾驶功能，就默认用户同意车企获取刚需型数据。如果用户提出相左的决定，车企也要尊重用户的意愿，但不能销售自动驾驶汽车或开放自动驾驶功能给用户。

从用户购买到使用自动驾驶汽车，车企所获取的刚需型数据，可以过程论为视角进行观察。在购买前，车企需要了解用户可能影响行车安全的信息。随着无人驾驶技术的推广，自动驾驶汽车将有潜力服务于任何群体。 [9]原本因年龄、生理缺陷、驾驶水平等原因不能拥有汽车的用户，完全可能因政策调整而获得自动驾驶汽车。如果用户自身不具备安全行车的能力，车企只能销售无人驾驶汽车，而非辅助驾驶汽车给用户。[10]在购买后，用户在使用自动驾驶汽车的过程中，有三类数据车企必需采集：一是事故数据，包括事件数据记录器中的数据、实时上传系统平台中的数据等，这对民事责任、保险均有意义。二是为保障行车安全所搜集的数据，主要为用户状态数据，特别是在辅助驾驶汽车的情况下，确保用户不疲劳驾驶、不分心驾驶、不违规驾驶。三是为完成行驶任务而获取的数据，包括出发与目的地、行驶线路等。

改善型数据，只关乎用户的产品体验，而无关产品安全，更不会影响到社会公共利益。因此，车企不能直接获取改善型数据。车企为了给用户提供更好的产品体验，应当争取得到用户的同意。如果用户不愿意开放过多的相关数据给车企，也无意使用改善型数据获得更好的产品体验，车企应当尊重用户的意愿，不获取改善型数据，仅获取刚需型数据。

改善型数据与车企的商业想象力密切相关，因而是开放的、不断丰富的。车企可以改善、提升用户产品体验的路径很多。大体上，改善型数据包括：用户的生物识别信息，如面部信息、指纹等，用于解锁自动驾驶汽车；用户的习惯信息，包括默认的座椅角度、车内温度等；用户的偏好信息，比如车内音乐、广告等。

2.“默认隐私—个体隐私”的识别路径

观察上述刚需型数据与改善型数据的分类，可以发现，用户隐私既可能出现在刚需型数据，也可能出现在改善型数据。例如，色盲通常属于个人隐私，但是车企为了确保行车安全，需要知悉用户的这一情况。一般而言，刚需型数据中的用户隐私要少于改善型数据。在确定用户要购买自动驾驶汽车、使用自动驾驶功能的前提下，用户同意与否，只影响车企的信息收集权限是“刚需型数据+改善型数据”抑或“刚需型数据”。无论何种情形，都需要进一步区分用户隐私与不构成隐私的用户信息。

隐私的基准在于场景的一致性。[11]因此，需要进入到特定场景中对隐私加以识别。在自动驾驶场景中，诚然，不同用户对隐私的理解会有些许差别，但是，不应过分放大这些细微差别，泛泛而谈，从而止步于“何谓隐私难有定论”的阶段性结论。更要看到，虽然不同用户对隐私的理解不尽相同，但在总体上仍然是大同小异。比如，车内通话、用户指纹构成隐私，几乎不会有用户对此产生疑问。这就为自动驾驶场景中用户隐私的识别提供了基础。对于自动驾驶场景中的用户隐私，可以沿着“默认隐私—个体隐私”的路径进行识别。

“默认隐私”是基于普通用户对隐私的理解而形成的、默认的用户隐私。“默认隐私”应尽可能贴合普通用户对于隐私的预期，尽量不让普通用户感到出乎意料。这里的普通用户，实则为大多数用户。“默认隐私”中的“默认”体现在，如果用户没有提出个性化要求，则“默认隐私”成为事实层面的用户隐私。大体上，用户的生物识别信息，如指纹、面部信息；用户的住址；用户的出行线路、定位；车内空间、通话等属于“默认隐私”。“默认隐私”需要自动驾驶行业跟进技术的发展并不断地完善。

如果“默认隐私”足够贴近普通用户的预期，那么仅凭“默认隐私”便能满足绝大多数用户的隐私保护诉求，至少能够控制在用户可以接受、容忍的限度内。另外，还有一些特殊群体、特殊职业的用户存在着“个体隐私”，会因此提出一些个性化要求。“个体隐私”也应当在技术条件允许的情况下得到关照。从尊重用户、商业竞争的角度，车企应当有动力尽可能满足用户的个性化要求。用户可以身份、职业等原因，要求车企不仅保护“默认隐私”，还对“个体隐私”加以保护。作为对价，车企在此过程中所付出的更多工作，用户理应为此支付额外的费用。在用户提出个性化要求的情况下，该用户在事实层面的隐私是“默认隐私”以及“个体隐私”。

（二）法律意义上的用户隐私

事实层面的用户隐私折射到法律层面，在这个过程中会有所变化，其背后融入了价值判断。另外，在事实层面构成隐私，但却不被法律所承认的用户信息，也会受到法律的保护，只是保护程度稍弱于法律意义上的隐私。

1. 价值判断

在法律层面，用户隐私与不构成隐私的用户信息的边界，是经过价值判断而形成的。如果事实层面的用户隐私被承认为法律意义上的隐私，则意味着隐私信息将会受到更加严格的保护，并严格限制车企对隐私信息的处理。因此，法律对事实层面用户隐私的承认程度越高，说明法律越重视用户隐私保护，反之，承认程度越低，说明法律推动科技发展的力度越大。在法律层面，用户隐私与不构成隐私的用户信息的边界不是恒定的，而是会受到认知水平、文化观念、技术条件等多种因素的变化而变化。

目前来看，考虑到自动驾驶正值关键的发展阶段，如果事实层面的用户隐私数据属于技术提升、改进产品绕不开的数据，则法律不宜承认其构成隐私。例如，面部信息通常被认为属于隐私。但是，如果对面部信息做模糊化处理，伴随的是数据价值的减损。自动驾驶需要了解面部信息，以此作为进一步训练的参考。又如，把用户数据全部留在车内处理，不与外界交互，显然对于保护用户隐私大有帮助。但是，这就占用了车内大部分空间，导致没有更多空间提供更好的产品体验。因此，只能各退一步，部分数据留在车内，不与外界交互，其他数据则作为可以交互的数据。

2.区分第一层次和第二层次的保护方式

如上所述，如果法律采取更加鼓励科技发展的立场，那么，难免有一部分事实层面的用户隐私，因为它们位于改进产品的关键环节，而暂时不被法律承认为隐私。如果认为法律层面的用户隐私，可以受到第一层次的保护，也就是配备更高程度的保护措施。而那些在事实层面构成隐私，却还未被法律所承认的用户信息，退而求其次，可以受到第二层次的保护，为它们配备程度稍弱的保护措施。换言之，法律还要对事实层面的用户隐私作价值判断。事实层面的用户隐私折射到法律层面：如果构成隐私，则受到第一层次的保护；如果不构成隐私，则受到第二层次的保护。回到上述两个例子，在允许自动驾驶汽车分析用户面部信息的情况下，应当严格保护这类数据避免泄露，这类数据与公开数据仍有实质区别；车企应当将重要数据留在车内处理，而相对次要的数据可以与外界交互。

现有隐私保护框架在有效保护自动驾驶汽车的用户隐私方面显然力有不逮，难以对隐私泄露进行事前预防、事后救济，由此形成了隐私保护困局。究其原因，是因为现有框架无法有效回应“从驾驶员到用户”“从个体隐私到群体隐私”“从私人利益到社会公共利益”的巨变。

（一）隐私保护困局

隐私保护框架，以过程论为基础，可以展开为事前预防、事中处理、事后救济。具体而言，事前预防，着眼于如何防止隐私泄露的发生；事中处理，主要是在出现隐私泄露后，如何快速控制、消除影响；事后救济，则是在隐私泄露事件结束后，赔偿受害人遭受的损失。在隐私保护的现有框架中，事前预防主要交由告知同意完成，事后救济则主要由侵权法落实。[12]可是，在实践中，告知同意已经被虚化，侵权法在法院中的表现也表明其不契合隐私保护的特点。[13]隐私保护的现有框架，既不能在事前有效预防隐私的泄露，也不能在事后为当事人提供可行的救济。同时，数据基于其可复制、可保存等属性，一旦泄露，再进行事中处理会面临巨大的困难。由此，形成了隐私保护困局。

（二）形成隐私保护困局的深层次原因

深挖隐私保护困局背后的原因，可能在于，随着汽车行业数字化、智能化的推进，逐渐步入自动驾驶时代。这改变了基于传统驾驶员而构建的现有框架所默认的诸多理论预设，出现了“从驾驶员到用户”“从个体隐私到群体隐私”“从私人利益到社会公共利益”的根本转变。这场巨变不仅放大了现有框架的漏洞，也带来了新的冲击。以传统驾驶员为理论预设而构建的现有框架，显然不足以应对这场巨变。

1. 从驾驶员到用户

自动驾驶汽车的所有人、管理人，相较于传统意义上的驾驶员，更像是用户。因为用户在使用自动驾驶汽车时，可以将驾驶任务交由自动驾驶系统来完成，由此产生了从驾驶员到用户的转变。

从驾驶员到用户的转变，使得传统汽车中并不突出的隐私保护，在自动驾驶汽车却成为了不可忽视的问题。其一，用户数据对于车企变得意义重大，车企对用户数据的需要、关注程度非常高，从而产生过度获取、不当获取用户数据的可能。其二，用户需要提供更多的数据，确保自动驾驶汽车安全运行、获得更佳的产品体验。在这个过程中，用户往往没有能力、条件保护其隐私。[14]

2.从个体隐私到群体隐私

自动驾驶汽车的隐私泄露，相较于传统汽车的隐私泄露有很大不同。传统汽车的隐私泄露，往往是个体之间的纠纷。大数据时代，分析海量数据、群体的行为成为可能，数据收集的变化使得群体层面的隐私得到关注。 [15]群体隐私无法简化为个体隐私，每一个体的隐私得到保护不等于群体的隐私得到保护。[16]自动驾驶汽车，一旦出现隐私泄露，往往是群体性的，用户群体的隐私都出现泄露。这是因为不同用户与车企签订的隐私政策、车企对不同用户的隐私保护措施，基本上都大同小异。因此，出现了从个体隐私到群体隐私的转变。

从个体隐私到群体隐私的转变，导致私法的底层逻辑不再契合自动驾驶汽车用户隐私保护的需要。首先，私法侧重于纠纷发生之后的事后救济，不善于事前预防。私法的逻辑在于，民事主体之间只有出现了纠纷，才有解决纠纷的必要。但是，自动驾驶汽车隐私泄露的规模化特征，决定了事前预防的重要性远超事后救济。况且，基于数据可复制、可保存的属性，事后救济甚至可能于事无补。其次，私法主要处理个体之间的纠纷，关注点不在公共事务。如果仅是个别的、一对一的纠纷，作为私法问题，通过侵权法得到救济，尚能应对。但是，面对规模化的隐私泄露，法院将处理很多实质相同的案件，这会造成司法资源耗费的不合理局面。[17]最后，私法以平等民事主体为理论预设构建相应的规则。传统汽车的侵犯隐私事件，双方仍然分庭抗礼，可谓平等关系。反观自动驾驶场景，车企单方面享有事实上的私权力， [18]并与用户构成不平等关系。[19]这就在根本上突破了私法的理论预设，私法自然难以发挥作用。

3.从私人利益到社会公共利益

社会公共利益通常被理解为不特定多数人的利益。[20]传统汽车的侵犯隐私事件，往往不涉及社会公共利益，仅涉及私人利益，比如，有损个人声誉。然而，自动驾驶汽车的隐私泄露事件，有可能超越私人利益，影响到社会公共利益。传统汽车的驾驶员隐私保护与自动驾驶汽车的用户隐私保护，成为了两个性质不同的问题。依此，产生从私人利益到社会公共利益的转变。

从私人利益到社会公共利益的转变，致使国家不能再将自动驾驶汽车的用户隐私保护作为一个完全的私法问题来看待。自动驾驶汽车的用户隐私如果频繁泄露，可能对不特定多数用户的生活产生影响，甚至导致社会秩序出现混乱，还可能影响公众对自动驾驶汽车的信任，打消支持自动驾驶发展的积极性，影响自动驾驶的发展。因此，国家不仅会通过注入法律要求对车企的数据处理活动进行规范，同时也会加强对车企数据处理活动的监管，确保用户隐私得以保护，以防社会公共利益受损。